我有一个接受自定义 CSS 字段的 Java API。我需要在将 CSS 存储到我的数据库之前对其进行清理,并希望为此使用Google Caja。
首先,我尝试使用Rhino JavaScript 引擎运行Google Caja HTML/CSS sanitizer JavaScript 库。不幸的是,这不起作用,因为该库在很大程度上依赖于 DOM(特别是对象)的存在。window
接下来,我从Maven 存储库中导入了 Caja 项目。我查看了一些测试,但找不到如何使用消毒剂的示例。
我可以尝试将浏览器带到服务器上,但这似乎有点过分。
有没有人能够使用 Caja 来清理 Java 中的 CSS 字符串?
提前致谢!
如果您打算在 Java 服务器上进行清理,我建议使用OWASP HTML Sanitizer,它显然基于 Caja 的代码。<a>它包括清理要包含的元素的能力rel="nofollow"。
import org.owasp.html.PolicyFactory;
import static org.owasp.html.Sanitizers.BLOCKS;
import static org.owasp.html.Sanitizers.FORMATTING;
import static org.owasp.html.Sanitizers.IMAGES;
import static org.owasp.html.Sanitizers.LINKS;
PolicyFactory sanitiser = BLOCKS.and(FORMATTING).and(IMAGES).and(LINKS);
String htmlSanitised = sanitiser.sanitize(htmlSource)
然而,要从 Java 调用 Caja,这适用于 Rhino (Java 7) 和 Nashorn (Java 8):
import javax.script.Bindings;
import javax.script.ScriptContext;
import javax.script.ScriptEngine;
import javax.script.ScriptEngineManager;
import javax.script.ScriptException;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
public class CajaSanitiser {
private final ScriptEngine engine;
private final Bindings bindings;
public CajaSanitiser() throws IOException, ScriptException {
this.engine = new ScriptEngineManager().getEngineByName("js");
this.bindings = engine.getBindings(ScriptContext.ENGINE_SCOPE);
String scriptName = "com/google/caja/plugin/html-css-sanitizer-minified.js";
try (BufferedReader reader = getReader(scriptName)) {
engine.eval(reader);
}
String identity = "function identity(value) {return value;}";
engine.eval(identity);
}
private BufferedReader getReader(String name) {
return new BufferedReader(new InputStreamReader(
getClass().getClassLoader().getResourceAsStream(name)));
}
public String sanitise(String htmlSource) throws ScriptException {
bindings.put("src", htmlSource);
// You can use other functions beside 'identity' if you
// want to transform the html.
// See https://code.google.com/p/google-caja/wiki/JsHtmlSanitizer
return (String) engine.eval("html_sanitize(src, identity, identity)");
}
public static void main(String[] args) throws Exception {
CajaSanitiser sanitiser = new CajaSanitiser();
String source = "<html>\n" +
"<head>\n" +
"<style>\n" +
"h1 {color:blue;}\n" +
"</style>\n" +
"</head>\n" +
"<body>\n" +
"<h1>A heading</h1>\n" +
"</body>\n" +
"</html>";
System.out.println("Original HTML with CSS:");
System.out.println(source);
System.out.println();
System.out.println("Sanitised HTML:");
System.out.println(sanitiser.sanitise(source));
}
}
我将其用作 Maven 配置的一部分:
<dependencies>
<dependency>
<groupId>caja</groupId>
<artifactId>caja</artifactId>
<version>r5127</version>
</dependency>
</dependencies>
<repositories>
<repository>
<id>caja</id>
<name>caja</name>
<url>http://google-caja.googlecode.com/svn/maven</url>
</repository>
</repositories>
Google Caja也是一个“Java 项目”,因此您可以执行 Caja 可以直接在 java 中执行的任何操作。例如,您可以在此处查看 Caja 单元测试用例以直接在 java 中验证 CSS 。